日本年金機構の個人情報流出の件数、内容、経緯、原因、問題点は。

日本年金機構の個人情報流出に関する
・日本年金機構個人情報流出概要
・日本年金機構個人情報流失の問題点
・日本年金機構個人情報流失の考察
最新記事
日本年金機構の個人情報流出問題。対応に伴う費用10億円？真実は？ 詳細はこちら

日本年金機構の個人情報流出概要

個人情報流出団体

　
日本年金機構

個人情報流出数

　
約125万件

流出した個人情報項目

　
流出した個人情報項目は
・基礎年金番号、氏名（流出件数　約3.1万件）
・基礎年金番号、氏名、生年月日（流出件数　約116.7万件）
・基礎年金番号、氏名、生年月日、住所（流出件数　約5.2万件）
※流失件数　3.1＋116.7＋5.2＝125万件

個人情報流失経緯

　
最初の個人情報流出
日本年金機構の福岡市内にある拠点オフィスで、職員が5月8日
メールに添付されているメールを開封
開封されたPCがウイルスに感染し、このPCから機構ＬＡＮに接続されて細分化された複数のフォルダから情報を抜き取った。

その後の個人情報流出
最初にウイルス感染した5月8日以降、日本年金機構本部（東京）でも
”金基金制度の見直しについて”という件名のメールが届く。
そしてメールを開封しウイルスは拡大。

5月28日警視庁の指摘で、個人情報流出を確認
ウイルスに感染したPCを特定し、隔離（外部との遮断）

個人情報流失発覚後の対応

・感染したウイルスの削除
・全拠点のPCのインターネット接続を遮断。

個人情報流失の問題点

職員による不振なメールの開封

日本年金機構は、不振なメールの開封を職員に対して注意喚起を行っていたが、徹底されていなかった。

リテラシー不足

情報管理体制

日本年金機構は、年金の情報をすべて”社会保険オンラインシステム”に保存。このシステムは、オフラインでインターネットから切り離されているため安全性が保全されている。

しかし、業務上の観点から、職員らは個人情報の一部を抽出し、日本年金機構の機構LANの共有フォルダに移していた。（こちらはオンラインつまりインターネットと接続されています。

しかも一部の情報では、データの一部にパスワードがかけられていなかった。といわれています。

なぜ共有フォルダーに、
・個人情報を抽出し管理していたのか
・データにパスワードがかけられていなかったのか。

安全管理措置不足です。

日本年金機構個人情報流失の考察

今回125万件という大量の個人情報が流失しました。
問題点としては
・不振なメールを開封したこと
・”社会保険オンラインシステム”から個人情報を抽出し、共有フォルダーに管理
・一部の共有フォルダーのデータに対して、パスワード管理なされていたい

上記三点です。これは個人情報保護法20条安全管理措置が、徹底されていなかったことが原因です。

大量の個人情報を管理する団体としては、ちょっと管理がずさんに感じます。

後個人情報漏洩時からの問題点
・個人情報流出の特定の発見の遅さ
です。ウイルス感染が発見されていながら、
・公表しなかったこと
・ウイルス感染に対する迅速な行動の遅さ
が非常に違和感を感じます。

しかも警察から報告を受けて発表したことが、尚違和感を感じます。
個人的には、意図的に情報の公開が遅れた感じを受けます。

個人情報漏洩に対する対応の問題点
・ホームページでもっとわかりやすい場所に記載すること
・個人情報漏洩での理事長の会見が、謝罪会見とは思えない言動
・個人情報漏洩に対するホームページでの文面に、詳しい経緯等が不足している
などあります。

個人情報インシデント（クライシス）に対する対策不足が、感じられます。

個人情報を大量に扱う企業団体は、通常の情報セキュリティレベルを遥かに超えるレベルで
・規定の策定
・教育
・監査
を行うことが重要です。そして常にマネジメントサイクル（PDCA)を運用することです。
・Plan（計画）
・Do（実行）
・Check（監査）
・Action（見直し）

そして危機管理（クライシスマネジメント）を真剣に取り組むことが、非常に重要です。

著者プロフィール
個人情報に関する教育団体運営管理者、コンテンツ開発、講師の業務を経験。その後情報セキュリティ企業コンサルティング、企業のガバナンスコンサルティングを歴任。

専門分野
・個人情報管理
・インターナルコントロール
・クライシスマネジメント
・クレド、wayなどの企業指針構築
その他地域活性化など。

本ホームページ管理者。